Pour Josh Kirkwood, DevOps Security Lead, chez CyberArk, Kubernetes est devenu un mot magique, synonyme de rentabilité. C’est pourquoi les entreprises veulent en tirer le maximum de profit :

« Au Royaume-Uni, une étude conduite par la plateforme d’emploi IT Jobs Watch, indique que la demande d’experts Kubernetes a fait un bond de 810 % au cours des deux dernières années ! Et parmi les emplois les plus demandés par les organisations, ceux requérant une expertise Kubernetes sont remontés de 759 places, pour entrer au classement des 250 emplois les plus recherchés. Il s’agit d’une première pour cette qualification et une preuve supplémentaire de l’engouement des entreprises pour cette technologie ; et plus particulièrement des équipes DevOps, qui ont besoin de ce support pour la gestion et le déploiement d’applications à grande échelle.

Cependant, cette ruée vers les avantages IT et commerciaux risque d’amoindrir la sensibilisation aux risques de sécurité. En effet, si les accès administrateurs – aussi appelés comptes à privilèges – de Kubernetes ne sont pas surveillés et gérés correctement, et que des personnes malveillantes s’introduisent dans le panneau de commande, elles pourraient alors prendre le contrôle de l’ensemble de l’infrastructure informatique d’une organisation. Cette théorie fait écho aux résultats du dernier rapport « Global Advanced Threat Landscape 2018 » de CyberArk, selon lesquels les professionnels DevOps recrutés par les entreprises manquent de connaissances concernant l’emplacement des comptes administrateurs et des secrets en environnements conteneurisés ; 67 % d’entre eux ignorent d’ailleurs complètement qu’ils s’y trouvent. Ce décalage entre l’adoption et la sensibilisation peut donc se révéler coûteux pour les entreprises enclines à adopter Kubernetes.

De nombreuses organisations confient souvent les mêmes missions aux DevOps – qui n’ont souvent aucune expérience en matière de cybersécurité – à savoir la protection de ces nouveaux environnements Kubernetes, en plus des nombreuses autres responsabilités qu’ils ont déjà. Ce n’est cependant pas suffisant, et les équipes de sécurité doivent s’impliquer bien davantage pour soutenir la sécurisation de la plateforme.

Les chiffres de recrutement et les annonces récentes des principaux acteurs du marché témoignent donc d’une forte appétence pour Kubernetes, et il est absolument indispensable de garder en tête les vulnérabilités que tout nouveau déploiement peut engendrer. Ainsi, les entreprises désireuses d’embrasser de nouvelles technologies doivent veiller à la collaboration entre leurs équipes pour protéger les secrets et les informations d’identification, pour un workflow conteneurisé. Les pirates informatiques sont opportunistes et motivés, or, tout nouveau déploiement peut être synonyme de manque d’expertise, et donc constituer un passage facile vers les données. Et le meilleur chemin pour y parvenir reste les comptes à privilèges, qui offrent un accès direct et complet vers les données d’une organisation s’ils ne sont pas correctement protégés. »